Предыдущее тестирование средств безопасности в iLab фокусировалось на том, каким образом стандарт аутентификации IEEE 802.1x помогает закрывать соединения в беспроводных ЛВС. Нынешнее исследование нацелено на применение этого стандарта в проводных коммуникациях
С уверенностью можно сказать, что протокол аутентификации достиг своей зрелости. Вендоры потратили большие усилия на создание конечных продуктов, которые включают в себя клиентское ПО, точки беспроводного доступа, проводные коммутаторы и серверы аутентификации. Однако тестирование показало, что некоторые разработки еще требуют усовершенствования, прежде чем мы сможем рекомендовать их как обеспечивающие достаточный уровень безопасности корпоративного класса.
С чего начать?
Клиент 802.1x совершает запросы. Устройство, с которым он соединяется, называется аутентификатором. За ним находится сервер аутентификации, который поддерживает с аутентификатором отношения по типу «клиент-сервер».
Мы установили клиентское ПО на ПК и машинах Macintosh, которые соединялись с точками беспроводного доступа или проводными коммутаторами. Серверы RADIUS, в свою очередь, обеспечивали аутентификацию. Протестированные клиенты были предоставлены Cisco, Funk Software, Meetinghouse Communications, Microsoft и Open1x (с открытым исходным кодом), беспроводное оборудование — компаниями Broadcom, Cisco, Extreme Networks, Proxim, Symbol Technologies и Trapeze Networks, а Ethernet-коммутаторы — Cisco, Extreme и HP. Соответствующие протоколу 802.1х разработки RADIUS-сервера были выпущены Cisco, Infoblox, Funk, Meetinghouse, Microsoft, Radiator, Roving Planet и FreeRADIUS.
В прошлогоднем тестировании мы испытывали опции с разными протоколами аутентификации, в том числе Protected Extensible Authentication Protocol (PEAP) и Tunneled Transport Layer Security (TTLS), где применялись только сертификаты серверов, и TLS, использующие сертификаты как клиентов, так и серверов. В этом году мы сфокусировались на тестировании типичных комбинаций трех компонентов системы аутентификации («просителя», аутентификатора и сервера аутентификации), чтобы определить, могут ли разные компоненты корректно аутентифицировать клиента, соединять его с сетью и транслировать Web-страницу, запускаемую на тестовом сервере.
Мы сделали вывод, что основная битва за совместимость компонентов окончилась. Сейчас вендоры поставляют полностью соответствующие стандарту IEEE устройства как для беспроводной, так и для проводной связи. Конечно же, обнаружились и некоторые ошибки, такие как разная структура отдельных цифровых сертификатов и проблемы со взаимодействием определенных аутентификаторов (коммутаторов) с некоторыми серверами RADIUS, но их было не больше, чем в любом другом наборе сетевых продуктов.
О чем беспокоиться?
Мы следили за развитием 802.1x как новой технологии защиты в течение последних трех лет. Но и сейчас сетевые профессионалы должны уделять внимание этому вопросу по ряду причин.
- Стандартизация средств беспроводного доступа. С принятием 802.1x в его современном состоянии вендоры наконец стали предлагать набор технически правильных безопасных механизмов контроля за доступом. Благодаря стандартизации имеющиеся опции для контроля и защиты беспроводных (и проводных) сетей продолжат совершенствоваться.
- Появление сильных алгоритмов шифрования. Утверждение 802.1x является частью деятельности IEEE по обеспечению гарантированной сетевой безопасности. При наличии стандарта 802.11i, который специфицирует применение более безопасного механизма распределения ключей с протоколом TKIP вместо WEP и применяет Advanced Encryption Standard (AES) для шифрования данных, мы сможем наконец строить защищенные корпоративные системы аутентификации, задействующие сильные криптографические алгоритмы.
- Совершенствование механизмов контроля за доступом к ЛВС. Внедрение 802.1x заложит фундамент для проектирования будущих средств сетевой защиты. Например, в случае контроля за доступом применительно к каждому пользователю или порту мы сможем останавливать атаки типа «отказ в обслуживании» (DoS) путем блокирования доступа к сети всех подозрительных клиентов и разрешения доступа только тщательно проверенным рабочим станциям. Это означает, что в ближайшем будущем мы станем лучше справляться с последствиями вирусной атаки, когда необходимо перекрыть выбранные сегменты сети.
Вместе с тем нужно указать на ряд проблем, которые могут затруднить использование 802.1x. Среди них — сложность, схожая по своей природе с проблемой, встречавшейся нам в прошлом при изучении технологии IPSec. Добавление поддержки 802.1x в корпоративную сеть означает, что у пользователя появляется новый набор сложных экранов пользовательского интерфейса с недружественными условиями совместной работы. Лишь немногие разработчики клиентских устройств сделали пользовательский интерфейс легким.
В частности, клиент от Microsoft для конфигурирования соединений 802.1x формирует множество окон, погребенных под панелью управления Network Connections. А клиент от Cisco применяет собственный многоэкранный интерфейс и затем все же требует конфигурировать поверх своего приложения клиентскую программу Microsoft. Кроме того, большинство клиентов не поддерживает диагностическую регистрацию событий, делая сложным устранение неполадок.
Владельцы портативных компьютеров или беспроводных карманных устройств хотят перемещаться в пределах корпоративной сети между доменами 802.1x. Но надо быть осторожными, конфигурируя клиентское ПО. Некоторые реализации компонентов 802.1x по умолчанию отключают часть драйверов Microsoft, в результате чего вы не сможете связываться с открытой точкой беспроводного доступа Wi-Fi. К примеру, беспроводная связь не будет работать, если пользователи возьмут свои ноутбуки из офиса, где установлена точка беспроводного доступа с поддержкой 802.1x, в кофейню или другое общественное место, в котором протокол 802.1x обычно не применяется для аутентификации.
Чего недостает?
Все клиенты и серверы аутентификации, реализующие 802.1x, являются частью сетевой инфраструктуры, применяют шифрование и играют свою роль в общей схеме защиты информации. Поэтому есть общепринятые соображения безопасности, которым эти продукты должны соответствовать. Как часть инфраструктуры, они должны уметь противостоять ошибкам и сбоям. Что касается точки доступа, она должна задействовать альтернативные серверы RADIUS в случае сбоя первоначального сервера. Этот механизм повышения отказоустойчивости отсутствует в некоторых коммерческих продуктах. А поскольку сервер RADIUS является критически важной частью механизма аутентификации, сбой в нем приведет к остановке доступа в сеть.
Все серверы RADIUS, реализующие 802.1Х, должны иметь уникальный сертификат. Это означает, что они поддерживают тот же уровень безопасности для хранения ключей шифрования, что и другие устройства, например Web-серверы с поддержкой SSL. Многие вендоры, к сожалению, не озаботились решением данной проблемы. Они просто предлагают хранить частный ключ RSA, применяемый в протоколе SSL, в незашифрованном файле на локальном жестком диске. Коммутаторы от НР, например, не хранят такой ключ в зашифрованном виде. Небрежная работа с сертификатами может привести к тому, что атакующий получит сертификат 802.1x клиента, инсталлирует его на сервер RADIUS и замаскируется под легальный сервер, прослушивая весь сетевой трафик.
Как и любые другие устройства сетевой инфраструктуры, точки беспроводного доступа, коммутаторы и серверы RADIUS должны иметь безопасные управленческие интерфейсы. Обычно это предполагает наличие программной оболочки SSH (если они имеют консольный интерфейс) или SSL (Secure-HTTP, если они имеют Web-интерфейс). Но в точках доступа от Cisco подобных средств защиты не обнаружилось, а в результате вы можете управлять ими только через незашифрованное Web-соединение.
То же замечание относится к продуктам Meetinghouse. Система от Infoblox заслуживает частичного доверия: она применяет SSL для Web-интерфейса пользователя, но поддерживает только сертификаты с личной подписью. Таким образом, атакующий, способный получить доступ к сети управления устройствами, потенциально может определить пароли. Другие вендоры, такие как Trapeze и Extreme, обеспечивают управленческие интерфейсы с поддержкой SSH и SSL.
Наконец, все перечисленные устройства должны иметь разумный механизм передачи записей событий в централизованную систему управления событиями по безопасности, чтобы сетевые администраторы могли анализировать попытки вторжений и проводить аудит систем безопасности. Ни Cisco, ни Funk не предлагают запись событий из своих серверов RADIUS на внешние носители. Разработки Infoblox, Microsoft и Roving Planet обеспечивают интеграцию с внешней аппаратурой записи событий.
Куда идет 802.1x?
Стандарты продолжают развиваться. В апреле корпорация Cisco предложила, а затем в одностороннем порядке внедрила еще один механизм аутентификации, называемый Extended Authentication Protocol — Flexible Authentication via Secure Tunneling (EAP-FAST). Он появился в ответ на нежелание пользователей, привыкших к применению паролей, задействовать для аутентификации сертификаты. Корпорация попросила целевую группу IETF принять EAP-FAST для обсуждения. Как отмечается, этот протокол применим к беспроводной и проводной средам.
Другим требующим решения вопросом является последовательное применение 802.1Х в проводной среде. Единственным видом клиентских устройств 802.1x в тестах iLab были рабочие станции. Но ведь и точка беспроводного доступа сама по себе является клиентом, если принять во внимание кабель, идущий от нее к коммутатору Ethernet. Сетевое решение с десятками рабочих станций, применяющих аутентификацию 802.1х, не защищает локальную сеть, даже если один принтер или ИБП защищен как-то иначе.
Если корпоративная политика безопасности такова, что любая попытка доступа к сети должна быть аутентифицирована, вероятно, вы не захотите иметь незапертые двери, представляющие собой, скажем, принтер. Злоумышленник может просто отсоединить его и подключить к разъему свой ПК.
Родни Тейер (rodney@canola-jones.com) — исследователь проблем защиты в компании Canola & Jones.